Los investigadores de seguridad han descubierto un nuevo malware que ya se ha convertido en su hábitat en las computadoras Mac. Sin embargo, todavía no ha hecho nada excepto esperar más comandos. El malware llamado Silver Sparrow viene como un paquete de instalación en computadoras Mac y, obviamente, el usuario debe instalarlo primero. Existen tanto «Updater.pkg», diseñado para Intel Macs, como update.pkg, que ofrece software adaptado para Intel y ARM Macs en el formato binario estándar Mach-O, como la empresa de seguridad Red Canary. .
El malware aún no ha recibido ningún comando nuevo
El programa no es más que un «espectador», Dice al analizar la empresa de seguridad. Si se abre, mostrará simplemente «¡Hola, mundo!» O «¡Tú hiciste eso!» a. El malware utiliza la interfaz JavaScript instalada para macOS para ejecutar scripts de shell y establecer permanentemente el sistema como LaunchAgent. Silver Sparrow se puso en contacto con un servidor de comandos cada hora para descargar y ejecutar contenido adicional. La herramienta se ha detectado durante más de una semana, pero no se ha recargado ninguna carga útil, por lo que la intención del malware sigue siendo un misterio, según los investigadores de seguridad.
AV Malwarebytes había detectado una infección Silver Sparrow en más de 29.000 Mac a mediados de febrero; El malware se instala con frecuencia en Mac de EE. UU., Gran Bretaña, Canadá, Francia y Alemania.
Apple retiró el certificado
No está claro cómo se entrega el paquete de instalación. Los investigadores de seguridad sospechan que se vende a través de varios canales haciéndose pasar por software legítimo de Mac que se ofrece para su descarga en Mac mediante anuncios publicitarios o resultados de búsqueda alterados. Apple parece haber retirado los certificados de desarrollador que utilizan los paquetes de instalación para firmar.
Lo inusual del malware tan común en la naturaleza es que tiene un método de autodestrucción que se supone que desaparece de una Mac infectada sin dejar rastro. Según los investigadores de seguridad, parece que esto aún no se ha activado. Aparte de eso, es más probable que estos métodos utilicen malware dirigido a personas.
[Update 22.2.2021 18:20 Uhr] Los siguientes archivos se pueden encontrar en una Mac infectada, que son «indicaciones de una infracción», escribieron los investigadores de seguridad:
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
~/Library/._insu
(lbe)
«Erudito en viajes incurable. Pensador. Nerd zombi certificado. Pionero de la televisión extrema. Explorador general. Webaholic».
